Autorità Olandese per i Mercati Finanziari e la Banca centrale dei Paesi Bassi

Informazioni sull'AFM e la DNB

Le principali autorità di regolamentazione dei Paesi Bassi sono l'Autorità olandese per i mercati finanziari (Autoriteit Financiële Markt, AFM) e la Banca centrale dei Paesi Bassi (De Nederlandsche Bank, DNB). L'AFM, il cui ruolo è paragonabile alla SEC nel Stati Uniti, è l'autorità di vigilanza indipendente per i mercati dei risparmi, dei prestiti, degli investimenti e delle assicurazioni. Il DNB, all'interno del Sistema europeo di banche centrali, determina ed implementa la politica monetaria ed esercita una supervisione prudenziale degli organismi finanziarie per i Paesi Bassi.

Entrambe queste istituzioni agiscono di concerto con l'Autorità bancaria europea (ABE), "un'autorità indipendente dell'UE che opera per garantire una regolamentazione e una vigilanza prudenziali efficaci e coerenti nel settore bancario europeo". A tal fine, l'ABE ha definito un approccio globale relativo all'uso del cloud computing da parte degli istituti finanziari dell'UE, le Raccomandazioni in materia di esternalizzazione a fornitori di servizi cloud.

In generale, le leggi e le linee guida indicano il cloud computing che coinvolge i servizi di terze parti come forma di esternalizzazione e che per questo gli istituti finanziari dei Paesi Bassi devono affrontarne i rischi associati prima di trasferire l'attività aziendale nel cloud. Ad esempio:

• Il Financial Supervision Act (FSA), emesso dal legislatore olandese nel 2018, vincola le istituzioni finanziarie a controllare i rischi associati all'esternalizzazione e a garantire che non ostacoli la supervisione normativa.
• Il Circulaire Cloud Computing, emesso dalla DNB, richiede che prima che gli istituti olandesi supervisionati si attivino nel cloud computing, devono informare il DNB dei loro potenziali accordi di esternalizzazione per garantire che i processi operativi e i rischi siano sotto controllo.

Se si usa un modello fornito dal DNB, è necessario che venga obbligatoriamente inviata un'analisi di rischio che include:

• Una valutazione relativa a: rispetto della legislazione corrente, intesa reciproca tra le parti in relazione ai servizi offerti, stabilità e affidabilità del provider di servizi, luogo di fornitura dei servizi e importanza e grado di dipendenza dai servizi esternalizzati.
• Attenzione esplicita per la gestione dei rischi associati all'integrità dei dati, alla riservatezza e alla disponibilità.

Il regolamento della Commissione delegata EU 2017/565 descrive a lungo i requisiti di un accordo di outsourcing tra imprese di investimento e provider di servizi cloud.

Microsoft e gli organismi AMF e DNB

Per assistere gli istituti finanziari nei Paesi Bassi nell'utilizzo del cloud per le funzioni aziendali esternalizzate, Microsoft ha pubblicatoun elenco di controllo per la conformità per gli istituti finanziari nei Paesi Bassi. Esaminando e completando l'elenco di controllo, le organizzazioni finanziarie possono adottare i servizi cloud aziendali Microsoft con la certezza che siano conformi ai requisiti normativi applicabili.

Quando gli istituti finanziari nei Paesi Bassi esternalizzano le funzioni aziendali sul cloud, queste devono adeguarsi alla normativa e alle linee guida dell'Autorità per i Mercati Finanziari dei Paesi Bassi (AFM) e della Banca Centrale dei Paesi Bassi (DNB), nell'ampio quadro legislativo dell'Autorità bancaria europea (ABE).

La checklist di Microsoft consente agli istituti finanziari nei Paesi Bassi di eseguire valutazioni di due diligence dei servizi cloud Microsoft per le aziende e include:

• Informazioni generali sul panorama normativo a scopo di contestualizzazione.
• Un elenco di controllo che definisce le problematiche da affrontare e associa i servizi Microsoft Azure, Microsoft Dynamics 365 e Microsoft 365 agli obblighi normativi. L'elenco di controllo può essere usato come strumento per misurare la conformità ad alcune normative e definire uno schema interno per documentare la conformità e aiutare i clienti a svolgere le loro valutazioni dei rischi rispetto ai servizi cloud Microsoft per le aziende.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

• Azure
• Dynamics 365
• Microsoft 365

Come eseguire l'implementazione

• Cheklist di conformità: Paesi bassi: le società finanziarie possono ottenere assistenza per la valutazione dei rischi dei servizi cloud Microsoft per le aziende.
• Casi di utilizzo nel settore finanziario: panoramiche di casi, tutorial e altre risorse per creare soluzioni con Azure per i servizi finanziari.

Domande frequenti

È richiesta l'approvazione da parte delle autorità competenti?

No. Tuttavia, la Circolare sul cloud computing afferma che il DNB prevede che gli istituti olandesi supervisionati inviino un'analisi dei rischi riguardanti i futuri accordi di esternalizzazione, prima di adottare soluzioni di cloud computing.

Devono essere incluse clausole obbligatorie nel contratto con il fornitore dei servizi cloud?

Sì. Le disposizioni e gli accordi da includere nei contratti cloud dipendono dal tipo di istituto finanziario. I requisiti, come quelli descritti nell'Art. 31 del Regolamento delegato dalla commissione (EU) 2017/565, sono riportati nella parte 2 della checklist.

Risorse

• Microsoft Financial Services Compliance Program
• Servizi cloud e servizi finanziari di Microsoft per le aziende
• Azure Financial Services Compliance Program
• Conformità in Microsoft Trust Center